Full Version: Win32 Rootkit - HILFE!!!
Hallo,
ihr seid meine letzte Rettung. Ich danke euch schon mal im Vorraus und hoffe wir kriegen die Scheiße die ich verzettelt habe wieder hin!!!
Report:
SDFix: Version 1.240
Run by Administrator on 27.07.2009 at 18:57
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-27 19:04:50
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
disk error: C:\WINDOWS\system32\config\system, 1381
scanning hidden registry entries ...
disk error: C:\WINDOWS\system32\config\software, 1381
disk error: C:\Dokumente und Einstellungen\Alex\ntuser.dat, 1381
scanning hidden files ...
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"D:\\Programme\\LecturnityPlayer\\JRE\\bin\\javaw.exe"="D:\\Programme\\LecturnityPlayer\\JRE\\bin\\javaw.exe:*:Enabled:javaw"
"D:\\Programme\\LimeWire\\LimeWire.exe"="D:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\Azureus\\Azureus.exe"="D:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"D:\\Programme\\PPMate\\ppmate.exe"="D:\\Programme\\PPMate\\ppmate.exe:*:Enabled:PPMate"
"D:\\Programme\\PPMate\\ppmnet.exe"="D:\\Programme\\PPMate\\ppmnet.exe:*:Enabled:PPMate"
"D:\\Programme\\Lecturnity\\jre5\\bin\\javaw.exe"="D:\\Programme\\Lecturnity\\jre5\\bin\\javaw.exe:*:Enabled:Java™ 2 Platform Standard Edition binary"
"D:\\Programme\\Mozilla Firefox\\firefox.exe"="D:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"D:\\Programme\\TmNationsForever\\TmForever.exe"="D:\\Programme\\TmNationsForever\\TmForever.exe:*:Enabled:TmForever"
"D:\\Programme\\TVUPlayer\\TVUPlayer.exe"="D:\\Programme\\TVUPlayer\\TVUPlayer.exe:*:Enabled:TVUPlayer Component"
"D:\\Programme\\veoh\\VeohClient.exe"="D:\\Programme\\veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"D:\\Programme\\ICQ\\ICQ6.5\\ICQ.exe"="D:\\Programme\\ICQ\\ICQ6.5\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"D:\\Programme\\PPLive\\PPLive.exe"="D:\\Programme\\PPLive\\PPLive.exe:*:Enabled:PPLive"
"D:\\Programme\\PPSTREAM\\PPStream.exe"="D:\\Programme\\PPSTREAM\\PPStream.exe:*:Enabled:PPSÖ›¶‡æ‡Òà"
"D:\\Programme\\PPSTREAM\\PPSAP.exe"="D:\\Programme\\PPSTREAM\\PPSAP.exe:*:Enabled:PPS Ö›¶‡¬àÓë’ö"
"D:\\Programme\\uTorrent\\uTorrent.exe"="D:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Programme\\PPLiveVA\\PPLiveVA.exe"="C:\\Programme\\PPLiveVA\\PPLiveVA.exe:*:Enabled:PPLiveVA"
"D:\\Programme\\Office 2007\\Office12\\OUTLOOK.EXE"="D:\\Programme\\Office 2007\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"D:\\Programme\\Zattoo\\zattood.exe"="D:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood"
"D:\\Programme\\Zattoo\\Zattoo2.exe"="D:\\Programme\\Zattoo\\Zattoo2.exe:*:Enabled: "
"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe:*:Enabled:Nero ProductSetup"
"C:\\Dokumente und Einstellungen\\Alex\\Lokale Einstellungen\\Temp\\Nero Web\\SetupXu.exe"="C:\\Dokumente und Einstellungen\\Alex\\Lokale Einstellungen\\Temp\\Nero Web\\SetupXu.exe:*:Enabled:Nero ProductSetup"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files :
Files with Hidden Attributes :
Sat 1 Dec 2007 24 ..SH. --- "C:\WINDOWS\S121A2514.tmp"
Wed 4 Aug 2004 93,184 A.SH. --- "C:\Programme\Internet Explorer\iexplore.exe"
Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Wed 4 Aug 2004 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Mon 13 Aug 2007 45,056 A..H. --- "C:\Dokumente und Einstellungen\Alex\Desktop\~WRL2615.tmp"
Tue 11 Dec 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 4 Aug 2004 73,728 A.SH. --- "C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe"
Tue 11 Dec 2007 4,348 ...H. --- "C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Tue 11 Dec 2007 20 A..H. --- "C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Tue 11 Dec 2007 9,656 A.SH. --- "C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Finished!
So, wie von Angier gefordert ein AVZ-sysinfo.zip!!!!
Darf ich fragen, welches AntiViren-Programm Du nutzt?
QUOTE(Angier @ 27.07.2009 19:45) 
Darf ich fragen, welches AntiViren-Programm Du nutzt?
Sicher, es sei denn, du spionierst mich jetzt aus und machst mein Problem noch größer...
Ich nutze die neuste Avira AntiVir Personal Version...
Wenn ich fragen darf was das mit meinem aktuellen Problem zu tun hat!?!? Reines und echtes Interesse.
hab mal ein wenig im Forum rumgelesen...
sollte mir zu helfen sein und es wird auch so ein Script für mich geschrieben (wird das nur für mich geschrieben), müßte man mir auch erklären wie man das ausführt, dat kann ich nämlich nicht....
sollte mir zu helfen sein und es wird auch so ein Script für mich geschrieben (wird das nur für mich geschrieben), müßte man mir auch erklären wie man das ausführt, dat kann ich nämlich nicht....
Wird mir hier eigentlich auch als Nicht-Kaspersky Nutzer geholfen - wahrscheinlich ne doofe Frage!?!?!?
Vielleicht hier nochmal was Spybot anzeigt:
Click to view attachment
Genau darauf zielte meine Frage ab....Sorry, das hier ist ein Forum von KasperskyLab. Nutzer anderer Software erhalten in den Foren derer Hilfe. Ansonsten bliebe Dir noch die Möglichkeit, Dein Anliegen bei folgenden Foren zu posten:
www.bleepingcomputer.com
www.trojaner-board.de
etc etc
www.bleepingcomputer.com
www.trojaner-board.de
etc etc
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.